北朝鮮の国家支援グループ「ラザルス」が、作戦「ドリームジョブ」の一環として、無人航空機(UAV)分野に関係する欧州企業を新たな攻撃の標的にしているとESETが報告しています。
「ダイヤモンスリート」「ヒドゥンコブラ」「ジンク」とも呼ばれるラザルスグループは、少なくとも2009年から活動しており、数々の大規模なハッキング事件の原因とされています。
過去5年間で、この脅威アクターは、航空宇宙、防衛、エンジニアリング、メディア・エンターテインメント、テクノロジー分野の個人を標的にした偽の求人情報を使った侵入キャンペーンを展開してきました。
「夢の仕事」と称したオファーは、被害者のシステムにさまざまなバックドアを感染させることを目的としていました。これによりラザルスは個人の所属組織に足がかりを築き、知的財産やその他の機密情報を盗み出すことができました。
2025年3月から、ESETは新しいレポートで、同様の作戦「ドリームジョブ」攻撃が、防衛分野の欧州企業、金属工学企業、航空機部品メーカー、防衛企業などを標的にしていると指摘しています。
ソーシャルエンジニアリングを利用し、ラザルスは偽の求人情報を使って被害者に職務内容を記載したおとり文書を送りました。この文書には、トロイの木馬化されたオープンソースのPDFリーダーが同封されており、「ScoringMathTea」リモートアクセス型トロイの木馬が展開されました。
2022年に初めて確認され、「ドリームジョブ」作戦で何度も使用されてきたこのマルウェアは、攻撃者に感染システムの完全な制御を提供し、コマンド&コントロール(C&C)通信には侵害されたサーバーを利用します。
ESETによると、このキャンペーンは、欧州諸国の軍事支援の一環としてウクライナに配備された兵器システムに関する情報収集を目的としている可能性があります。攻撃は、北朝鮮兵士がロシアで活動し、クルスク地域でウクライナの攻勢を食い止める支援を行っていたとされる時期に発生しました。
同時に、被害企業は北朝鮮が国内で製造している素材を生産しており、侵入の目的は設計やプロセスの完成度を高めるための情報収集である可能性もあります。これらの攻撃で使用されたすべてのドロッパーに含まれるDLLは、ドローンメーカーへの関心を示唆しています。
少なくとも2社の被害企業はUAV技術の開発に深く関わっています。そのうちの1社は重要なドローン部品を製造し、もう1社はUAV関連ソフトウェアの開発に従事していると報告されています。
「UAV関連のノウハウへの関心は注目に値します。これは、平壌が国内のドローン製造能力に多額の投資を行っているとする最近の報道とも一致します」とESETは指摘しています。
報道によれば、北朝鮮はロシア・ウクライナ戦争を通じた現代戦の経験をもとにドローンプログラムを強化しており、ロシアの支援を受けてイラン製「シャヘド」ドローンの北朝鮮版や、輸出用の低コスト攻撃型UAVの生産も進めているとされています。
ESETが指摘するように、北朝鮮はリバースエンジニアリングや知的財産の窃取を通じて国内のUAV能力を開発してきており、「Saetbyol-4」と「Saetbyol-9」ドローンは、それぞれノースロップ・グラマンRQ-4グローバルホークとジェネラル・アトミクスMQ-9リーパーのコピーです。
「このような状況下で、作戦『ドリームジョブ』は少なくとも一部はUAVに関する独自情報や製造ノウハウの窃取を目的としていた可能性が高いと考えられます。ドロッパーの一つで『ドローン』の記述が見られたことは、この仮説を大きく裏付けるものです」とESETは述べています。
翻訳元: https://www.securityweek.com/north-korean-hackers-aim-at-european-drone-companies/
